一場事先張揚的黑客襲擊,io.net 漏洞 1 個月前已被社區上報
面臨信任危機,io.net 作何回應?作者:flowie, ChainCatcher
編輯: Marco , ChainCatcher
4月25日下午,io.net 遭遇黑客攻擊,黑客可以未經授權訪問 io.net 元數據 API 。社群用戶反饋, io.net 多台機器的名字和在線狀態被修改。
由於發幣在即,io.net 的此次攻擊,讓社區出現了一定的恐慌情緒,也冒出一些"io.net 維權群"。
在攻擊事件發生後,io.net 聯合創始人兼 CEO Ahmad Shadid 在X平台發文回應,受影響的是用戶前端元數據,未洩露 GPU 訪問權限和用戶或設備數據。所有正常運行時間記錄均不受影響,不會影響供應商的計算獎勵。
儘管社區用戶擔心的積分獎勵計算不受影響,但此次攻擊也會讓io.net面臨一定程度的信任危機。
io.net是Solana生態中的AI+DEPIN明星項目,今年3月份獲得HackVC、Multicoin Capital、Animoca Brands、Solana Ventures、Aptos、OKX一大批頂級資本以及知名項目方和交易所的3000萬美元融資。
社區用戶:攻擊漏洞早在一個月前就反饋了
社群用戶COOK在攻擊發生後當晚便向ChainCatcher爆料,曾在3月中旬左右他試跑io.net 官方挖礦腳本便發現了io.net 此次被攻擊的漏洞,即用戶的礦機可以被任何人修改。此外,他也懷疑io.net 還有組網系統等多個方面的安全問題。
COOK稱,其隨後在discord官方頻道群組中向項目方反饋了漏洞。
COOK表示,當時也不止他一個人發現並在群里討論這個漏洞,但最終他們並沒有得到的反饋。另一社區用戶Box | 826.eth 也向ChainCatcher表示,一個月前也發現了問題。
Box | 826.eth稱,"有人做了我們之前想做但沒有做的事情"。COOK 也有類似的攻擊想法,但考慮到該攻擊也帶來不了收益,最後並未付諸行動。此外這個明顯的漏洞未發酵,他們猜測也可能是有社區用戶想要利用漏洞來修改自己的積分獎勵。
從Box | 826.eth X 平台發布的信息來看,其有公開出售超低價GPU代跑io.net服務,比如出售2元一天的4090顯卡代跑,由於該出售價格低於4090顯卡一天消耗的電費,其顯卡真實性存疑。而COOK是否曾經出售過類似的算力或代跑服務暫時未得到證實。
由於io.net暫未發幣,這類攻擊一般也難得到漏洞賞金,黑客攻擊動機是什麼?有加密kol@bamboobee5 猜測,可能是前段時間虛假GPU被清理後的報復行為。
io.net團隊相關負責人透露,io.net 安全團隊此前一直對虛假GPU在做標記,但並沒有選擇立即清理,因為考慮到這些虛假GPU研發了新的抗檢測手段,團隊最終選擇了發幣前集中打擊。
而這次虛假GPU的清理,可能就讓不少虛假GPU竹籃打水一場空。
而對於社區用戶爆料的"官方未處理漏洞反饋",ChainCatcher也向io.net 團隊進行了求證。
io.net團隊相關負責人回應稱,他們技術團隊3月份收到社區漏洞反饋後,開始著手了系統升級,但是出於防攻擊考慮,沒有向社區披露所有安全工作的時間表和細節。
該負責人表示,團隊3月份便開始與OKTA 和 Cloudflare 進行系統的 API 訪問升級,在上週二已經實現了部分升級,原計劃後半部分的升級等到空投完成後進行。"而原因在後半部分更新需要用戶重啟GPU Worker礦機並執行新的上線和驗證流程,不再兼容舊版本,涉及較複雜的用戶學習和磨合的過程,故團隊原計劃在io.net更新大版本時要求用戶執行此更新。"
隨著昨晚突然被攻擊,io.net團隊目前將後半部分的API 訪問升級計劃已提前。io.net 系統預計在一兩天內恢復正常。
發幣延期,io.net 路線圖將如何調整?
在發幣前夕,io.net 遭遇攻擊,其路線圖是否有些調整?
根據io.net 此前官方消息,目前IO代幣的TGE推遲到 4 月 28 日之後。
io.net團隊相關負責人進一步透露,預計在5月中旬左右。而推遲原因和此次攻擊事件沒有太大關聯,是交易平台要求延遲。空投獎勵也將延長,在延長時間內進行的活動也將獲得獎勵。
除此外,io.net團隊相關負責人表示,大部分io.net 路線圖應該還是照計劃進行,產品安全上會加大投入。
對於@tonifungg為代表的部分社區用戶而言,比此次攻擊事件讓他們擔心的是io.net 團隊後續的安全問題。io.net 團隊背後有如此強勢的投資團隊和資金押注,社區用戶對io.net安全性預期也較高。
對於社區用戶的擔憂,io.net團隊相關負責人表示 io.net 在做的AI+ DEPIN開發是比較新的領域,io.net 也是該領域開發較快的項目。在探索AI+ DEPIN的框架中,很難避免各種bug甚至攻擊。
另一方面,io.net團隊相關負責人提到,io.net 對於測試網的預期原本是幾萬的容量,但目前已經到了幾十萬的量級,io.net 團隊有很多緊急的擴容在做,對於快速發展中可能暴露出來的問題和缺陷,他們會積極處理。
此次攻擊事件也會提醒他們強化AI+ DEPIN安全相關的開發。目前io.net整個團隊規模在70-80人,技術人員有50-60人。io.net團隊相關負責人表示,io.net正在和社區裡的一些網絡安全團隊接洽,以加大對安全系統的投入。
